DarkSword — новая цепочка эксплойтов для iOS, которую уже используют для кражи сохранённых паролей и данных криптоприложений. По оценкам на основе статистики версий iOS, под риском могут оказаться около 220 млн iPhone — это примерно 14% аудитории iOS.
Ключевая деталь: атаки нацелены на устройства со старыми версиями системы. Речь про диапазон iOS 18.4-18.7. Исследователи пишут, что набор эксплойтов утёк и попал к нескольким злоумышленникам.
Что известно про DarkSword и как его применяют
DarkSword обнаружили специалисты Lookout, когда разбирали предыдущую кампанию под названием Coruna. Выводы Lookout подтвердили Google Threat Intelligence Group и команда iVerify, которые собрали более полную картину угрозы.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Цепочка использует сразу шесть уязвимостей. Их трекают как CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 и CVE-2025-43520.
По данным исследователей, DarkSword активно применяют с ноября 2025 года. Причём не один актор: набор эксплойтов используют «несколько» групп, которые разворачивают его в виде трёх семейств вредоносов из линейки GHOST.
- Ghostblade: сбор данных — от криптоданных до истории браузера, фото и почты.
- Ghostknife: доступ к аккаунтам в активной сессии, сообщениям и истории геолокации.
- Ghostsaber: выполнение кода и кража данных.
Lookout отдельно подчёркивает уровень разработки. Компания описывает платформу как «highly sophisticated» и указывает на модульность и поддержку высокоуровневого языка, что ускоряет выпуск новых модулей и упрощает сопровождение.
География и вектор доставки: заражённые сайты и sandbox-эксплойт
По отчётам, атаки затронули пользователей в Саудовской Аравии, Украине и Малайзии. Это не «локальная» история, а рабочая схема, которую уже прогнали по разным регионам.
Доставку завязали на sandbox-эксплойт через скомпрометированные сайты. Как именно взломали сами сайты, исследователи прямо не уточняют.
Какие версии iOS под риском и что Apple уже закрыла
Оценка «220 млн устройств» опирается на долю версий iOS в статистике: её собирают StatCounter и данные по экосистеме публикуют сторонние аналитические площадки. В пересчёте это около 14% всех пользователей iOS.
При этом iVerify указывает, что все уязвимости из цепочки DarkSword Apple уже закрыла в более свежих релизах iOS. По их данным, безопасными выглядят iOS 18.7 и ветка iOS 26.3, а более ранние сборки iOS 26 могут оставаться уязвимыми.
Для владельцев старых iPhone, которые тянут iOS 18, но не поддерживают iOS 26, вопрос обновлений остаётся открытым. Apple иногда выпускает патчи для прошлых веток, но подтверждения, что так будет и здесь, пока нет.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Публичные разборы угрозы Lookout и iVerify доступны на их сайтах: Lookout и iVerify.
Отдельно iVerify называет актуальной версией для апдейта iOS 26.3.1, а для тех, кто остаётся на iOS 18 — iOS 18.7.6, которую они считают безопасной по текущим наблюдениям.
Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.
Эксплойт DarkSword атакует до 220 млн iPhone на старых iOS ⚡️